VİRÜS TANIMI
Nedir?
2014 yılında keşfedilen CosmicDuke, 2013 yılından kalma eski tip ve aynı zamanda hükümetleri ve diğer kurumları hedefleyen aktif kampanyalarda kullanılmaya devam eden Miniduke implantlarını kullanır. Miniduke'un arkasındaki aktör, 2013'teki teşhirinin ardından başka bir özel arka kapı kullanmaya başladı. "Yeni" Miniduke'un ana arka kapısı (diğer adıyla TinyBaron veya CosmicDuke) çeşitli bilgi türlerini çalabilmektedir.
Miniduke APT'nin aktörü faaliyetlerini durdurmasına veya en azından yoğunluğunu azaltmasında rağmen 2014'ün başında bir kez daha saldırılarına tüm hızıyla devam etti. Bu defa saldırganların eylem biçiminde ve kullandıkları araçlarda değişiklikler olduğunu fark ettik.
Ayrıntılar
"Yeni" ana Miniduke arka kapısı (diğer adıyla TinyBaron veya CosmicDuke), bot oluşturulduğunda bileşenleri etkinleştirme veya devre dışı bırakma esnekliğine sahip olan BotGenStudio adlı bir özelleştirilebilir çerçeve kullanılarak derlendi.
Bileşenler 3 gruba ayrılabilir:
- Süreklilik – Miniduke/CosmicDuke, Windows Görev Zamanlayıcısı yoluyla kendini başlatma yeteneğine sahiptir
- Arama – Kötü amaçlı yazılım; *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *jpg; *.txt; *.lnk; *.dll; *.tmp vb. uzantılara dayalı dosyalar ve dosya adı anahtar kelimeleri dahil olmak üzere çeşitli bilgileri çalabilir.
- Dışarı sızdırma - Kötü amaçlı yazılım, verileri dışarı sızdırmak için FTP ve üç farklı HTTP iletişim mekanizması yoluyla veri yükleme dahil olmak üzere birkaç ağ konnektörü yürütür.
Bu virüsü kaptığımı nasıl anlarım?
Kaspersky Lab ürünleri, CosmicDuke arka kapısı Backdoor.Win32.CosmicDuke.gen ve Backdoor.Win32.Generic'i algılar. Mevcut bir Kaspersky ürününüz varsa CosmicDuke kötü amaçlı yazılım zaten algılanmış olmalıdır. Halihazırda yüklü bir Kaspersky ürününüz yoksa Kaspersky antivirüs ürünlerinden birini indirip yüklemeniz ve yazılımı çalıştırmanız gerekir.